c

Selamat

Jumat, 29 Maret 2024

NASIONAL

23 Februari 2023

20:41 WIB

Siapa Jaga Perlindungan Data?

Kehadiran Otoritas PDP begitu mendesak. Ketegasan menindak pencurian data pribadi begitu dinanti di kala kejahatan data kian marak

Penulis: James Fernando, Gisesya Ranggawari, Oktarina Paramitha Sandy,

Editor: Leo Wisnu Susapto

Siapa Jaga Perlindungan Data?
Siapa Jaga Perlindungan Data?
Warga berswafoto dengan kartu identitas untuk registrasi pinjaman online di kawasan Cilandak, Jakarta Selatan. Selasa (21/2/2023). ValidNewsID/Fikhri Fathoni

JAKARTA – Sejak 17 Oktober 2022, pemerintah mengundangkan Undang-Undang Nomor 27 Tahun 2022 tentang Pelindungan Data Pribadi (UU PDP). Selanjutnya, pemerintah diberi waktu dua tahun untuk menerbitkan aturan-aturan turunan UU PDP, termasuk aturan turunan mengenai Lembaga Otoritas PDP. 

Dalam UU PDP, ketentuan terkait lembaga ini hanya terdiri dari lima pasal, mulai dari Pasal 58. Ada amanat pembentukan peraturan presiden (perpres) untuk pembentukan lembaga, serta peraturan pemerintah (PP) untuk kewenangan teknis lembaga untuk melaksanakan UU PDP.

Meski hanya diatur dalam lima pasal, soal kelembagaan ini menjadi catatan tersendiri dalam pembahasannya. Alotnya perdebatan di DPR soal ini, membuat pembahasan RUU PDP jadi lama.

Dalam mandatnya sesuai perundangan, Lembaga PDP akan mengawasi praktik pengelolaan data pribadi oleh penyelenggara sistem elektronik. Baik pemerintah ataupun swasta semuanya tercakup, agar memenuhi kriteria dalam UU PDP. Karena itu, lembaga PDP dituntut untuk independen, baik dari sisi badan hukum maupun fungsinya.

Mengingat peran sentral lembaga itu untuk pelindungan data pribadi, pembahasan mengenai badan itu selayaknya mulai dilakukan sekarang. Lantaran, keamanan data pengguna adalah hal penting di era digital saat ini. Kian hari, kian marak kaus pencurian data. 

Menurut laporan terbaru oleh Pusat Sumber Daya Pencurian Identitas (ITRC), sepanjang 2022 terjadi lebih dari 400 juta kasus pencurian data pribadi. Kasus ini didominasi oleh platform jejaring sosial.

Angka ini mungkin bisa jauh lebih besar. Hal ini mengingat banyak perusahaan teknologi enggan jujur jika ada kasus tersebut menimpa mereka. Menurut ITRC, hanya 34% dari mereka yang melaporkan serangan secara detail.

Kondisi ini memungkinkan pemilik data sulit membuat keputusan atau mengambil tindakan tepat jika mereka alami pencurian data. Di sisi lain, sikap diam dan kebingungan pemilik data, membuat peretas mendapatkan lebih banyak peluang untuk mengakses data pengguna.

Pelbagai laporan, data yang dicuri terbatas pada nama pengguna dan nomor jaminan sosial. Namun demikian, dalam beberapa kasus, tak sedikit pula data yang dicuri menyertakan informasi identitas pribadi.

Nah, pada 2023, banyak pihak memprediksi tren pencurian data masih akan sama. Kejahatan siber disebut masih akan banyak terjadi termasuk upaya pencurian data pribadi di platform digital.

Direktur Jenderal Aplikasi Informatika Kemenkominfo, Semuel Abrijani Pangerapan menyatakan, pembahasan soal pembentukan lembaga otoritas PDP itu masih jauh. 

Saat ini, Kemenkominfo masih menitikberatkan membahas 10 aturan turunan dari UU PDP. 

Khusus untuk pembentukan lembaga, Kemenkominfo masih sebatas melakukan kajian. Setelah kajian selesai, barulah akan dibuat draf peraturan presiden (perpres) pembentukan lembaga. Lalu, akan ada pembahasan bersama dengan kementerian dan lembaga terkait.

"Pembahasan itu (soal lembaga) belum ada. Masih terlalu jauh. Tapi rencananya rampung tanun ini, kajian dan draf perpres akan selesai bulan Mei,"beber Semuel, Rabu (22/2).

Dia menambahkan, Kemenkominfo memandang, penguatan aturan di UU PDP mesti didahulukan. 

Berdasarkan Pasal 59 UU PDP, lembaga ini akan bertugas dalam hal perumusan serta penetapan kebijakan dan strategi PDP yang menjadi panduan bagi subjek data pribadi, pengendali data pribadi, dan prosesor data pribadi. 

Selain itu, pengawasan terhadap penyelenggaraan PDP, penegakan hukum administratif terhadap pelanggaran UU PDP, dan memfasilitasi penyelesaian sengketa di luar pengadilan, juga menjadi prioritas.

Salah satu kewenangan otoritas PDP ini adalah memberi sanksi kepada perusahaan/lembaga yang terbukti lalai dalam menjaga data pribadi yang dikelolanya. Sanksinya bisa mencapai denda nominal dua persen dari pendapatan tahunan.

Semuel mengatakan, sebelum aturan turunan dan lembaga otoritas PDP dibentuk, korban PDP masih sebatas mengadu ke Kemenkominfo. Sanksi itu baru bisa diterapkan dua tahun mendatang.

Kekosongan Hukum
Harapan segera adanya lembaga ini disuarakan banyak pihak. Lembaga Studi dan Advokasi Masyarakat (ELSAM), salah satunya. Direktur Eksekutif ELSAM Wahyudi Djafar khawatir lambatnya pembentukan lembaga otoritas PDP membuat kekosongan hukum. Kekhawatiran ini beralasan. Tidak ada yang bertanggung jawab soal PDP sebelum lembaga itu dibentuk.

Dia menilai periode transisi implementasi UU PDP memang menjadi masa kritis dalam hal kepatuhan pengendali data untuk memastikan penerapan standar PDP. Termasuk, risiko pembiaran jika terjadi insiden kebocoran data pribadi. 

"Tidak ada yang memastikan kepatuhan pengendali data terhadap standar-standar PDP, termasuk langkah mitigasi ketika terjadi insiden kebocoran," kata Wahyu, Rabu (22/2).


Untuk menghindari kekosongan hukum dan tetap memastikan jaminan pelindungan data pribadi warga negara, dia mendukung lembaga yang ada saat ini bertanggungjawab dalam pelindungan data pribadi, yaitu Kemenkominfo.

Oleh Samuel, kekhawatiran itu dia jawab dengan menerangkan, pihaknya menerima pengaduan sebelum aturan turunan dan lembaga otoritas PDP dibentuk. 

Namun, lagi, dia mengingatkan bahwa sanksi terhadap pelanggar, baru bisa diterapkan dua tahun mendatang.

Dia sampaikan, Kemenkominfo tetap memroses apabila ada pelaporan, atau ada informasi tentang kebocoran data. 

Terkait pembentukan lembaga PDP, Wahyu mendesak pemerintah menjamin proses yang terbuka dan partisipatif. Melibatkan seluruh pemangku kepentingan dalam menyusun peraturan turunan UU PDP, termasuk dalam pembentukan lembaga PDP.

Setelah aturan ada, lanjut dia, butuh pelaksana yang tegas agar UU PDP tak menjadi macan kertas. Efektivitas implementasi UU itu berada pada lembaga pengawas yang harus memastikan kepatuhan dari pengendali dan pemroses data, serta menjamin pemenuhan hak-hak subjek data. 

Dia mengingatkan, UU PDP berlaku mengikat bagi sektor privat, juga badan publik. Seharusnya, independensi otoritas ini menjadi mutlak untuk penegakan hukum PDP. 

Akan tetapi, lanjut dia, UU ini mendelegasikan pada Presiden untuk membentuk lembaga PDP. Bahkan, lembaga itu sekaligus bertanggung jawab kepada Presiden.

Padahal salah satu mandat utamanya adalah memastikan kepatuhan kementerian/lembaga yang lain terhadap UU PDP. Sekaligus, memberikan sanksi jika institusi pemerintah tersebut melakukan pelanggaran. 

"Kekuatan dari otoritas yang dibentuk akan sangat tergantung pada ‘niat baik’ presiden yang akan merumuskannya. Kondisi tersebut makin problematis dengan ketidaksetaraan rumusan sanksi yang dapat diterapkan," papar dia.

Seperti, urai Wahyu, ada perbedaan sanksi bagi sektor publik dan sektor privat. Bila melakukan pelanggaran sektor publik hanya mungkin dikenakan sanksi administrasi Pasal 57 ayat 2. 

Sementara, sektor privat, Pasal 57 ayat 3 menjatuhkan sanksi administrasi, juga ancaman denda administrasi mencapai 2% dari total pendapatan tahunan. Bahkan, dapat dikenakan hukuman pidana denda mengacu pada Pasal 67, 68, 69, 70. 

Idealnya lembaga otoritas PDP nanti diisi oleh para pejabat yang memiliki kapasitas dan pengalaman di bidang PDP. Baik itu dari kalangan profesional atau pejabat publik, intinya memiliki kemampuan yang mumpuni untuk mengelola ekosistem PDP.

Perpres pembentukan lembaga ini, hemat Wahyu, mesti dibuat serinci mungkin. Mulai dari syarat pejabat yang mengisi sampai alasan-alasan yang membuat pejabat tersebut bisa dicopot.

ELSAM mengusulkan, pejabat Eselon I di lembaga ini mesti diisi oleh figur yang mewakili pemangku kepentingan, profesional. Bisa juga dari institusi pemerintah, selama memiliki kapasitas sesuai tugas fungsi dan wewenangnya.

Kemudian di level kepegawaian, bisa dicampur dari ASN dan tenaga profesional yang spesifik menguasai PDP. 

"Lalu, proses rekrutmen harus dilakukan secara terbuka. Walaupun di level sturktural tentu akan ada ganjalan-ganjalan karena format lembaganya LPNK, bukan independen," papar dia. 

Ketahanan Lembaga
Kekhawatiran lain muncul, akan keberlangsungan lembaga ini. Kekhawatiran ini berdasar persepsi banyak lembaga yang tidak bertahan lama di pemerintahan Jokowi. Setidaknya dalam dua periode ini Jokowi sudah membubarkan 33 lembaga negara untuk perampingan dan kemudian dilebur ke kementerian terkait.

Skenario menjadikan lembaga baru ini nantinya tak berdaya menguat. Karena kewenangannya begitu kuat, untuk menegakkan UUPD, tak setajam yang diharapkan.

Praktisi Cybersecurity, Eryk Budi Pratama menyarankan pejabat atau pengurus dari lembaga harus memiliki kompetensi, wawasan, dan pengalaman dalam memberikan saran, evaluasi, dan penindakan kasus pelanggaran PDP.

"Serta memahami analisis hukum jika ada permasalahan terkait pelanggaran PDP," ujar Eryk, Rabu (22/2).

Menurut dia, lembaga PDP nantinya juga perlu berkolaborasi dengan lembaga yang ada saat ini. Misalnya, Badan Siber dan Sandi Negara (BSSN) dan Kemenkominfo.

Eryk pesimistis persoalan PDP bisa diatasi 100% jika lembaga PDP itu berdiri sendiri. Koordinasi dengan lembaga-lembaga yang lain tetap diperlukan. 

Dia memandang pembentukan lembaga ini memang penting, terlebih maraknya kasus kebocoran data. Perusahaan dan organisasi yang menampung data pun perlu kejelasan soal penerapan UU PDP.

Selain itu, lanjut Eryk, subjek data memang membutuhkan lembaga pengawas yang tegak menindak pelanggaran PDP. Baik yang dilakukan swasta maupun badan publik. 

Eryk menambahkan, pemerintah bisa mengacu pada lembaga-lembaga di negara lain yang sukses menerapkan lembaga PDP. Lembaga di beberapa negara di Eropa, seperti AEPD Spanyol, DPC Irlandia dan CNIL Prancis. Selain itu, di Asia Tenggara, keberhasilan lembaga pelindungan data dilakukan oleh lembaga di Singapura, Malaysia, Thailand, dan Filipina. 

Sementara, Wakil Ketua Komisi I DPR, Abdul Kharis Almasyhari mengaku, parlemen juga punya concern yang sama, menunggu pemerintah membentuk lembaga itu. DPR juga menyokong agar pembentukan lembaga itu harus dipercepat. Setelah setahun terbentuk, baru DPR akan evaluasi.

Namun, soal teknis lain, dia menilai terlalu dini dibicrakan. “Silakan pemerintah bentuk. Apakah nanti, perjalannya sulit atau mulus, belum bisa dinilai kalau lembaganya saja belum terbentuk,” kata Kharis, Rabu (22/2).


KOMENTAR

Silahkan login untuk memberikan komentar Login atau Daftar





TERPOPULER